用企业配置管理器配置和保护大型网络

　　2004年5月18日，在旧金山举行的软件和信息产业联合会（Software and Information Industry Association）上宣布的Codie奖（Codie Awards），Configuresoft公司的企业配置管理器（Enterprise Configuration Manager ，ECM）可能是一个赢家。ECM目前已经进入最佳系统管理解决方案（best Systems Management Solution）评选的最终角逐（入闱的厂商是从超过800家参加预选的厂商中筛选出来的），ECM的产品为大型、复杂的企业网络环境提供了一种非常好的配置和安全保护方式。

　　背景

　　Configuresoft, Inc.的总部坐落于科罗拉多州的Spring市郊，该公司启用了一些Mission Critical Software（该公司现在与NetIQ合并）的最初创建者，还雇佣了一些微软Operations Manager的最初开发者。Configuresoft的客户名单非常耀眼，在财富前25名的公司里，有7家是他们的用户。Configuresoft的核心产品是ECM和SUM（Security Update Manager，安全升级管理器）。它的一个最大用户把这个功能强大的产品用于4700台服务器和大约75000台工作站上。

　　TechRepublic最近采访了Configuresoft.的产品管理副总裁Randy Streu。Streu表示：根据Carnegie-Melon和Gartner的研究，80%的故障和90%的安全问题都是由于错误配置造成的。这些问题出现时，100%都会引起惊讶，因为IT部门目前没有能力进行持续的配置管理。他的解决方案是一个全面进行配置管理的产品，这个产品让IT经理在Windows环境里获得空前的知识，力量和控制。ECM目前只针对Windows环境，但是他们计划在今年第三季度末提供跨平台的产品。

　　优点

　　Streu认为，ECM将使所有人受益，从IT经理（运行和安全总揽、资产管理、许可证管理）到网络管理员（ECM和SUM能够自动地发现并安装补丁）。它功能强大，能够有效地完成报告、分析、标准化、执行、变化管理等工作。“ECM的Compliance module让企业能够把机器变成他们达到的模板。也就是说，它们能够轻易发觉增加了什么，并采取步骤来扭转这种变化。”Streu表示。

　　从商业角度看，ECM的优点包括：

　　总体拥有成本更低（在配置问题造成安全问题或系统当机之前，就能够修正它们）。

　　集中控制，良好的可见性（你可以跟踪计划和未执行计划的机器，进行更改，管理项目。）

　　强制执行标准配置。

　　ECM提高了安全性：

　　集中式的安全漏洞评估（也就是说哪台机器有什么样的安全漏洞，容易受到哪种类型的攻击）。

　　监视不必要的变化（使用者未经批准就进行的软件下载）。

　　集中式的事件日志管理。

　　它是如何工作的

　　ECM的central machine从它所管理的每台机器上都要收集20,000到80,000个数据点，然后把这些数据存入中央SQL 2000数据库。这就为IT部门创建了一个集中的资产和安全数据库，其中的信息可以被利用来生成报告、进行分析、标准化、改变管理和强化管理能力。“对于任何一台我们想管理的机器，我们都会向它推送DCOM（Distributed Component Object Model，分布式组件对象模型）。这是一个混合的代理方式，当我们发送一个执行任务到该机器上，它在磁盘上是休眠状态，不会占用CPU或者RAM的资源，除非收集者唤醒它。”IT人员可以使用DCOM协议唤醒远端程序，并指示它收集数据或做出改变，然后再将它关闭。这让你能够在享受分布式计算的同时，不用承担让一个程序始终运行的负担。

　　Streu解释说，“我第一次同一台机器交谈的时候，我会做出基准记录并对它留个‘快照’。然后我进行压缩、加密、然后通过网络进行传送，然后我把所有这些数据存入数据库。下一次当我访问这台机器时，我唤醒DCOM组件，然后询问它自从我上次访问以来发生了什么变化。它会在那里作出一个初步的计算，然后我就关闭它。它会给我发送少量的数据回来。这就是为什么我们能够管理数千台的机器，并能够看到配置变化的机制。”配置变化是引起桌面支持人员繁忙工作的原因。

　　这些数据包括基本资产信息，比如制造商、BIOS版本号，机器的类型（比如Dell的笔记本）。它还能够收集机器上整个注册表的信息、它所运行的程序、所有的文件、所有的安全数据等等。在ECM的帮助下，IT人员可以利用数据库里的信息生成数以千记的报告，而不会影响网络的运行。

　　执行

　　ECM还解决了执行的问题。它具备创建一套规则的能力，这些规则能够定义你的标准是什么。它打包了很多SAN和微软的安全指南给你，但是你也可以创建你自己的。当你运行这些规则，ECM将帮你指出那些没有执行的机器，而且你可以利用ECM强迫这些机器执行，你只需要以高亮选定那些数据，然后单击“强制执行”就可以了。

　　ECM 4.5 提供了一些新功能，包括：

　　自动强制执行（不仅仅告诉你哪里有一台机器没有执行规则，如果你同意，它还能够把强制进行执行）。

　　执行基准向导：Compliance Benchmarking Wizard（发现机器之间不同的能力）。

　　强化执行引擎。

　　HTTP激活交流（HTTP-enabled communications）。

　　ECM 说明板（总体介绍配置）。

　　新的数据源（更深的NTFS许可数据，包括审查设定）。